La Seguridad de la Información en las Pymes

En un ambiente empresarial globalizado a nivel mundial y competitivo como el que existe en la actualidad, las Pymes dependen cada vez más de la tecnología.

Si cada 30 de noviembre, se reitera la importancia que tiene proteger la información con medidas de seguridad en los sistemas, esta recomendación se hace más que necesaria en 2020. La irrupción del Covid-19 ha obligado a un alto porcentaje de empresas a trasladar gran parte de su actividad económica al mundo digital. El número de transacciones económicas online también se han incrementado, al igual que el consumo de ocio a través de la red. La pandemia ha reforzado nuestra dependencia del uso de la tecnología, pero también ha aumentado el número de ataques cibernéticos.

Reforzar la seguridad de las empresas y organizaciones que manejan datos sensibles e información confidencial es primordial, al igual que lo es proteger la privacidad de los usuarios.

Según un informe reciente publicado por el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información o (ISC)2, organismo con sede en Florida encargado de educar y certificar a los profesionales de la seguridad de la información, más de 3.800 profesionales en Estados Unidos dedican sus esfuerzos a tareas relacionadas con la ciberseguridad.

Si a estos datos sumamos la irrupción de la Covid-19, podemos ver, por primera vez, más trabajadores dedicados a esta problemática como consecuencia de dos factores: una demanda cada vez mayor y más ciberataques derivados del teletrabajo. El estudio recoge la cifra de 700.000 trabajadores dedicados exclusivamente a gestiones de ciberseguridad.

En este sentido, si lo extrapolamos a España, es muy probable que en el 2021 más del 50% de responsables en ciberseguridad de las principales compañías destinen una gran partida presupuestaria con el objetivo de proteger la seguridad de sus datos, sistemas y gestiones con clientes en las empresas. España se situará a la cabeza en cuestiones de seguridad de la información, por encima de países como Francia, Alemania o Reino Unido según el estudio “Cyber Security to Tecnology Purchase Decision Making”.

Amatech Group, compañía tecnológica con más de 20 años de experiencia, ha implantado el teletrabajo de manera escalonada con prestigiosos sistemas de seguridad. “Antes de la irrupción de pandemia, en torno a un 15% de la plantilla ejercía el teletrabajo. Para nosotros ha sido un verdadero reto mandar a todos los trabajadores a casa de forma masiva. En menos de 48 horas toda la plantilla se incorporó al teletrabajo. Todo ello contando con las dificultades de las infraestructuras de nuestros clientes pues no estaban preparado para el teletrabajo”, señala Eva García, directora de RRHH de Amatech Group.

El grupo tecnológico ha reforzado el teletrabajo de sus clientes para proteger sus datos sensibles de manera encriptada alejando a “piratas” de posibles ataques. Las herramientas digitales de las que se sirve Amatech Group, así como sus principales proveedores, han facilitado la inclusión y accesibilidad de cualquier trabajador a sus diferentes dispositivos tecnológicos. La irrupción de la Covid-19 ha “permitido” que puedan seguir desarrollando su trabajo sin problema al estar perfectamente habilitado su plan de Transformación Digital, tanto a nivel interno como para con sus clientes.

Cada vez hay más dispositivos conectados como consecuencia de la globalización y la digitalización. Pero las vulnerabilidades y ataques se hacen cada vez más latentes. En Amatech Group explica Sergio Aguilera: “La información de nuestros clientes se almacena en copias de seguridad cifradas mediante backups encriptados que poseen un sistema de recuperación de la información en caso de tener que responder a ciberataques de manera rápida, inteligente y automatizada gracias al Machine Learning y la Inteligencia Artificial”,

Otra de las herramientas capaces de tapar esos agujeros de seguridad en las empresas es Blockchain, un concepto tecnológico que representa un enfoque innovador para la ciberseguridad. Esto es fruto de la naturaleza y el diseño de la cadena de bloques, que utiliza la criptografía del cifrado y la firma digital.

Los datos que se incluyen en la cadena de bloques están protegidos por la topología descentralizada y distribuida de la red, además de por los algoritmos criptográficos que sellan cada bloque. Esto no impide un ataque informático, pero sí lo complica. El hecho de que la información no se pueda manipular, dado que cada bloque tiene una referencia al anterior y sólo se puede modificar con el consenso de los nodos de la red, también complica la labor de un atacante que quiera romper y alterar la estructura fijada, apunta Arkaitz Carbajo, Responsable Técnico de Innovación de Amatech Group.

En las organizaciones que gestionan datos sensibles y que es imprescindible la confidencialidad de la información, esta se puede proteger haciendo uso de algoritmos criptográficos de cifrado, una opción que permite Blockchain. Por tanto, la cadena de bloques se erige como una candidata a cumplir un papel destacado en la ciberseguridad en las organizaciones empresariales en los próximos años, ofreciendo protección de la identidad, de los datos y de las infraestructuras y permitiendo múltiples aplicaciones para aumentar la seguridad.

Los ciberataques que afrontan las empresas días a día, incluso con pérdida económica muy fuerte causadas por los ataques dañinos como phishing o malware, por no implantar un métodos de detección temprana, y porque no le dan importancia a la misma, o porque creen que invertir en ciberseguridad es un gasto innecesarios, las pymes deben hacer un plan de contingencia, invertir en paquetes informáticos, capacitar a todo el personal en ciberseguridad para que todo hable y manejen el mismo idioma, resguardar los datos en diferentes medio, porque es muy importante para proteger los intereses de las pymes como es la nube que hoy en día tiene mayor demanda y jerarquía para las empresas y compañías.

Si algo marca la diferencia para poder atajar de forma rápida y eficiente un ciberataque, es la inmediatez. Los robots de software, trabajando 24/7, son capaces de controlar, detectar y actuar en tiempo real ante una posible filtración. Esto es gracias a que pueden realizar tareas a lo largo de un ciclo de trabajo y tener parametrizadas las excepciones que, en este caso, son indicios de un ciberataque.

Se puede afirmar que los robots de automatización, ante una petición determinada, bloqueen un sistema o simplemente notifiquen antes de realizar la acción, detectando así, actividades fraudulentas como el phishing o de intento de robo de información.

Recordemos que el Día Internacional de la Seguridad de la Información, fue una propuesta de la prestigiosa Association For Computing Machinery (ACM), tras detectarse el primer caso de malware de propagación en red, conocido como ‘Gusanos de Morris’.

¿Qué es la cuenta de explotación en las Pymes?

La cuenta de explotación o de resultados es el documento contable que expresa los beneficios o pérdidas obtenidos por una empresa en un periodo de tiempo determinado.

La cuenta de resultados o de pérdidas y ganancias es una manera simplificada de calcular el margen de beneficio de una empresa en un ejercicio antes y después de impuestos. Sus dos componentes son la cuenta de explotación y la cuenta de resultados financieros, de las que habrá que detraer, en su caso, el impuesto sobre los beneficios para llegar al resultado final del periodo.

En este sentido, la cuenta de explotación va a reflejar únicamente el resultado obtenido por la empresa en el desarrollo de su propia actividad, obteniéndose como diferencia entre ingresos y gastos de explotación; así, no tiene en cuenta la estructura financiera que permite el desarrollo del negocio, y que plasmada en ingresos y gastos financieros, da lugar al resultado financiero de forma independiente.

1.- Ingresos de explotación: Son los ingresos que obtiene la empresa relacionados con su actividad económica habitual al realizar su objeto social.

2.- Gastos de explotación: Comprende los gastos necesarios para realizar su actividad principal. Entre ellos se encuentran los siguientes:

  • Compras: compras y aprovisionamientos de productos que sean objeto de venta posterior o transformación.
  • Variación de existencias: disminución del inventario con respecto al principio del período, lo que supone un ajuste a la cifra de compras y costes de producción de un periodo.
  • Servicios exteriores: gastos de investigación y desarrollo, arrendamientos, reparaciones, transportes, coste de los seguros, publicidad, teléfono y gastos bancarios.
  • Tributos: pueden ser indirectos, ajustes en el Iva cuando no todo el Iva soportado sea deducible y también pueden ser directos.
  • Gastos de personal: los relacionados con salarios, indemnizaciones, cuotas empresariales de la seguridad social, aportaciones a planes de pensiones a cargo de la empresa y otros gastos de carácter social.
  • Otros gastos de gestión: los derivados de insolvencias firmes de clientes y otros, como la regularización de útiles y herramientas utilizados en el proceso productivo.
  • Pérdidas procedentes de activos no corrientes y gastos excepcionales: corresponden a las pérdidas originadas en la venta de estos activos o al darlos de baja del balance por otras causas, pérdidas ocasionadas en la amortización de obligaciones, y pérdidas derivadas de siniestros y de sanciones y multas.
  • Amortizaciones: expresan la pérdida sistemática experimentada por bienes del activo no corriente, materiales o intangibles, por su utilización en el proceso productivo, y también por las inversiones inmobiliarias.

La obligación de informar exhaustivamente a las autoridades fiscales sobre los ingresos y los gastos de una empresa afecta tanto a las grandes compañías como a las Pymes. Ttodos tienen que presentar sus cuentas en el Registro Mercantil e informar a Hacienda de su rentabilidad.

Las Pymes cuentan con un Plan General Contable que establece la obligación para estas sociedades de formular el balance, la cuenta de pérdidas y ganancias, el estado de cambios en el patrimonio neto. Una vez termina el ejercicio contable, las empresas cuentan con un periodo de tres meses para elaborar la cuenta de pérdidas y ganancias y el resto de estados financieros obligatorios.

En España es la Agencia Estatal Tributaria el organismo que concentra la labor recaudatoria a favor del estado. Si bien lascuentas anuales se presentan en el Registro Mercantil para su legalización y registro, Hacienda necesita contar con la información que les permita determinar el margen de beneficio de una empresa y su grado de participación en las arcas generales mediante la carga impositiva en el Impuesto de Sociedades o en el IRPF.

¿Por qué es importante para la Pyme un programa de fidelización?

Con los esfuerzos centrados en captar nuevos clientes es frecuente que las pymes olviden la importancia de la retención y fidelización de sus clientes.

Los expertos afirman que cuesta de 5 a 10 veces más adquirir un nuevo cliente que fidelizar uno ya existente. Además, un cliente actual gasta un 67% más que uno nuevo. Cifras como estas, demuestran realmente la importancia de la lealtad y fidelidad de los clientes.

¿Qué son los programas de fidelización?

Un plan de fidelización, debe comenzar por conocer el perfil de los clientes, cuáles son sus preocupaciones y necesidades para poder ofrecerles valor. Frecuentemente las empresas se centran en modelos de retención puramente basados en coste, como descuentos o ofertas especiales, sin embargo, esta no es siempre la estrategia más efectiva. Trato personalizado, servicios adicionales o reconocimiento son acciones sin coste, que pueden ser mucho más efectivas que cualquier plan promocional o descuento. Un programa de fidelización es una estrategia de marketing con el propósito de premiar el comportamiento de compra de sus clientes, lo que produce en ellos un sentido de lealtad y fidelidad hacia la empresa.

¿Por qué implantar un programa de fidelización?

Un programa de fidelización requiere la asignación de recursos económicos y humanos. Esta asignación de recursos se tiene que valorar como una buena opción para mejorar los ingresos y maximizar el retorno de la inversión. Seguidamente se enumeran las variables que se ven afectadas por la implantación de un programa de fidelización:

1. Impulsa el crecimiento del negocio. Cada programa de fidelización puede producir diferentes resultados en función de los objetivos trazados. No cabe duda que cada vez que han sido implementados como modelo de expansión y crecimiento se ha verificado un crecimiento destacable.

2. Incrementa los ingresos. Según una publicación realizada por Forbes, mantener a un cliente existente cuesta 7 veces menos que adquirir uno nuevo. En este sentido, los recursos que destinados a crear y poner en marcha programas de fidelización no tienen punto de comparación con los gastos generados por la búsqueda y adquisición de nuevos clientes.

3. Mejora la reputación. “Un cliente satisfecho, es un cliente feliz”. Esta frase debe convertirse en un referente para un programa de fidelización. Si los clientes se sienten apreciados y valorados, lo más seguro es que permanezcan leales al negocio y que además lo recomienden a otros. Esto se convierte en un proceso de “boca a boca” que repercutirá positivamente en la reputación de la Pyme y por consiguiente en su crecimiento.

4. Aumentan las ventas mediante la inclusión de incentivos. Los clientes valoran los programas de fidelización principalmente por los incentivos adicionales que reciben al realizar una nueva compra. Este tipo de incentivos deben estar alineados en función del número de veces que han realizado una compra, el artículo comprado, la inversión realizada y sobre todo en base a la satisfacción de sus deseos y necesidades. Dependiendo de la intención de compra de los clientes (online u offline) se podrán establecer programas de incentivos que satisfagan sus necesidades.

5. Proporciona información acerca del comportamiento del nicho de mercado. Un programa de fidelización además de fomentar una relación más cercana con los clientes, permite obtener datos de suma importancia para entender su comportamiento en relación a qué evitan comprar y qué los induce a gastar su dinero.

6. Hacer feliz a los clientes. Ofrecer recompensas o incentivos a los clientes más fieles no produce ningún efecto sobre los productos y/o servicios pero si marca la diferencia en cuanto a la competencia y sobre todo mantiene a los clientes satisfechos y felices.

7. Tecnología. La tecnología es sin duda una gran aliada para establecer relaciones con clientes fieles. Tanto como herramienta para apoyar las acciones comerciales como comentábamos en el punto anterior como como canal de comunicación.En el sector pyme, todavía quedan muchas empresas que no están aprovechando las posibilidades de la tecnología. Chats en vivo, redes sociales o herramientas de mensajería instantánea pueden ser muy buenos aliados a la hora de ofrecer un servicio ágil y personal a los clientes.

Como en cualquier otra planificación estratégica el seguimiento y análisis para la continua mejora son fundamentales para garantizar resultados positivos.

Es posible que algunas de las medidas que se hayan tomado en la pyme no hayan reportado los beneficios esperados. Sin embargo, es esencial detectar el error, darse cuenta a tiempo y subsanarlo. Es importante conocer cuáles son las reacciones que han tenido los usuarios y comprobar si se ajustan a lo que se pretendía con el proyecto inicial. Un programa de fidelización establece una relación de beneficio tanto para los clientes como para el crecimiento de la Pyme.

Aspectos legales a considerar al contratar servicios en la nube

Actualmente, la mayoría de empresas, administraciones utilizan servicios en la nube.

Estos servicios normalmente consisten en un software sin cliente o aplicación instalada en el dispositivo del usuario, junto con almacenamiento y tratamiento de datos online.

Hay servicios en la nube que sí ofrecen la posibilidad de instalar un software en nuestro equipo, pero en todo caso la nota común es que los datos se almacena en ordenadores y servidores externos, ajenos al propietario de la información. Hasta no hace mucho, había que contar con servidores propios para ejecutar los programas y almacenar la información, con el consiguiente gasto en licencias y equipos.

La decisión de contratar esta tipología de servicios, normalmente, lleva aparejada cierta desconfianza sobre la seguridad de los datos y sobre las implicaciones legales que trae consigo la contratación de esta innovadora forma de almacenamiento de datos. Hay varios aspectos legales a tener en consideración en materia de seguridad en cuanto a computación en la nube se refiere:

  • La necesaria y comprometida aplicación de los datos personales. La normativa aplicable: LOPD y Reglamento de la LOPD.
  • La Ley de Servicios de la Sociedad de Información.
  • La delicada contratación de servicios en la nube.

El cloud computing y la nube nos envuelven a pesar de que intentemos resistirnos. Con el mínimo despiste, nuestros datos personales navegan por la red o redes sociales a merced de las empresas y otros usuarios que puedan consultarlos. Está en nuestra mano conocer la ley para que esto no ocurra y en caso de hacerlo saber a qué deberíamos acogernos. Toda empresa necesita proteger la confidencialidad y seguridad de sus propios datos y de su propia información. Para ello es preciso que el prestador de servicios considere los siguientes aspectos legales:

  • Ofrezca información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de la información.
  • Garantice la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica.
  • Establezca mecanismos seguros de autenticación para el acceso a la información tanto por parte de las personas autorizadas de la empresa como de los clientes.
  • Estipular el procedimiento de recuperación y migración de los datos a la terminación de la relación entre la empresa y el proveedor.
  • Evidentemente todos estos aspectos técnicos deben de trasladarse a un contrato de servicios entre la empresa y su proveedor que recoja estos aspectos legales mediante las garantías jurídicas necesarias en caso de incumplimiento por parte del proveedor, con la finalidad última de que la empresa no sufra perjuicio alguno.

Es preciso que los datos de carácter personal que sean objeto de tratamiento en la empresa se guarden en un lugar que cuente con las medidas de seguridad exigidas por la normativa española de protección de datos y todos los aspectos legales relacionados. Pero como estos datos se sitúan en un servidor cuya ubicación física desconoce el responsable, hay tres aspectos esenciales que deben ser tenidos en cuenta a la hora de decidir contratar servicios de Cloud Computing:

  • La empresa es el responsable del tratamiento de los datos y del cumplimiento de los aspectos legales de la normativa aplicable.
  • El prestador de servicios de Cloud Computing tendrá la naturaleza de encargado del tratamiento. Trata datos personales por cuenta del responsable.
  • Depende del lugar físico donde se ubique el servidor, puesto que lo que tenemos que lograr es que la normativa aplicable de los aspectos legales relacionados, sea la española y/o europea. Para ello, mientras el servidor contratado se encuentre ubicado en España u otro país comunitario, no hay problema. Pero cuando el servidor no tenga esta nacionalidad, debemos recurrir a cláusulas específicas que concluyan la remisión a la legislación nacional o, al menos, de un estado miembro de la Unión Europea.

¿Cuál es la solución? Que el cliente responsable del tratamiento, cuando contrate servicios de Cloud Computing, se asegure de que el prestador de servicios cumpla con todos los aspectos legales de la normativa española de protección de datos personales y su reglamento de desarrollo. Por tanto, es preciso blindar los contratos con cláusulas que garanticen la protección de los interesados antes señaladas.

En cualquier caso, dada la pertenencia de España a la Unión Europea, estas adaptaciones deben hacerse dentro del marco de la Directiva comunitaria sobre protección de datos RGPD, en la que se recogen todos los aspectos legales de obligado cumplimiento en materia de seguridad de la información.

Las Pymes, el eslabón más débil en seguridad de la información

La mayoría de los ciberataques a empresas españolas se centran en las pymes. Solo un 37% cuenta con la infraestructura de seguridad adecuada. Las organizaciones y empresas están siendo amenazadas constantemente por ataques informáticos.

La falsa creencia entre las compañías de que estos ataques son muy sofisticados y están orientados a grandes multinacionales es un gran error de partida. Según un informe de Kaspersky Lab en colaboración con B2B International, sólo el 19% de las empresas con menos de 25 empleados sitúa a la estrategia TI en su top de preocupaciones, una tasa prácticamente igual, con el 21%, a la de los negocios de entre 26 y 99 empleados. Por su parte, en empresas con 100 o más trabajadores esta cifra asciende hasta el 30% o más, con el 35% de las empresas situando la estrategia TI como una de sus dos principales prioridades. Una cantidad que todavía se antoja insuficiente.

Según un estudio de la organización Anti-Phishing Working Group (APWG), durante la última parte del año pasado, se detectaron cerca de 255.000 nuevas amenazas cada día. El sector del retail y servicios fue el más castigado, al sufrir el 32% de los ataques, seguido de los servicios de pago con un 29% y de los servicios financieros con un 25 %.

Los motivos y métodos a emplear son muy diversos. Se han producido ataques de robo de información mediante phising, XSS, SQL Inyection, etc. para posteriormente subastar o vender esta información al mejor postor, sin olvidar los ataques puramente vandálicos (DoS, defacement, virus, etc.).

Otro factor por el que las pymes están en el punto de mira de los ciberdelincuentes es porque, según el Directorio Central de Empresas (DIRCE), en 2019 había en España 3.363.197 empresas, de las cuales el 99,88% eran pymes entre 0 y 249 empleados. Es decir, lo que en seguridad informática se conoce como la superficie de ataque y ésta es muy amplia.

Un atacante tendrá en su balanza un 0,12 % de grandes empresas, con buenas medidas de seguridad a las que atacar, pudiendo conseguir grandes beneficios, o bien un 99,88% con malas medidas de seguridad a las que robar poco, pero que en conjunto puede suponer un beneficio mucho mayor. De ahí que la mayoría de los atacantes se inclinen por el objetivo más fácil, las pymes.

De hecho, según un reporte de Panda Security, del total de empresas en el mundo, un 47% de los ataques se concentran en las pymes. Después de enfrentar estos ataques, sólo un 40% de éstas se recupera.

Eduardo Román, director de productos y soluciones móviles de Samsung indica que “los dispositivos móviles son una puerta de entrada a los ataques cibernéticos, ya que aunque un 99% de ellos son dirigidos a grandes plataformas y sólo un 1% del riesgo está en los dispositivos móviles, esa pequeña ventana puede significar un 99% de problemas para la organización, porque puede afectar todos los sistemas conectados en línea”.

Entre los consejos que dan los expertos, en primer lugar se debe contar con servidores y soluciones antispam para evitar virus en los correos electrónicos. Asimismo, sostienen que utilizar versiones antiguas de software presenta un riesgo, por lo que es importante realizar actualizaciones de manera continua y siempre que lo aconseje el fabricante.

Los sectores más atacados durante el pasado año fueron el de la Administración Pública, energía, investigación, industria, salud, construcción, telecomunicaciones, informática, militar, espacial, finanzas y medios de comunicación. Y en gran parte de los casos las víctimas comparten un mismo denominador común: los delitos se podrían haber evitado.

Las circunstancias excepcionales que estamos viviendo desde mediados de marzo de 2020 han producido cambios radicales en el segmento de las pymes. Sin embargo, hay algo que no ha cambiado: la amenaza de las organizaciones criminales que operan en Internet y que han visto la crisis como una oportunidad. Han vislumbrado esa mayor dependencia de la Red y han evaluado cuáles son las tendencias que dirigen ese mayor tráfico, para adaptar sus prácticas y obtener mayores beneficios. A partir de estas consideraciones, podemos determinar que las principales amenazas que afectaron a las pequeñas y medianas empresas en España desde comienzos de marzo son las siguientes:

  1. Campañas de phishing relacionadas con el coronavirus.
  2. Virus informáticos.

Por último, es necesario advertir que es importante educar a los colaboradores de las pymes a utilizar correctamente sus equipos personales, ya que gran parte de ellos los utiliza para trabajar, convirtiéndose “en eslabón más débil de la cadena”, aclaran los especialistas.